Datatilsynet har genomfört en granskning av Dantherm AS och konstaterat att företagets behandling av personuppgifter inte skett i enlighet med reglerna i artiklarna 24.1 och 32.1 i dataskyddsförordningen (“GDPR”).
Den 25 september 2020 rapporterade Dantherm att det inträffat en personuppgiftsincident till Datatilsynet. Dantherm hade utsatts för en ransomwareattack, där hackare lyckats få tillgång till Dantherms IT-miljö, från vilken hackarna läckt ut information om nuvarande och tidigare anställda på dark web. Hackarna fick förmodligen åtkomst via användaren “AV” som hade administratörsrättigheter. Användarkontot hade tidigare använts av en extern konsult som inte borde ha haft åtkomst vid attacken. Hackarna raderade de flesta av loggarna. Dantherm kunde därför inte svara på om kontot “AV” varit aktivt eller inaktiverat.
Enligt Datatilsynet får administrativa rättigheter endast ge tillgång till relevanta begränsade resurser (datorer, aktiva enheter, program, tjänster eller liknande), och loggning av all användning av rättigheterna måste säkerställas. Loggfilerna måste därför lagras på ett sådant sätt att användare med administrativa rättigheter inte kan stänga, radera eller ändra loggen.
Efter en granskning av ärendet konstaterade Datatilsynet att Dantherms behandling av personuppgifter inte uppfyllt kraven på lämplig säkerhet i artikel 32.1 GDPR. Datatilsynet framhöll särskilt att Dantherm inte hade säkerställt att användare med administratörsrättigheter inte kunde ta bort eller ändra loggfilerna.
Därutöver konstaterade Datatilsynet att Dantherm inte hade uppfyllt kravet att personuppgiftsansvariga måste kunna visa att lämpliga säkerhetåtgärder vidtagits vid behandling av personuppgifter enligt artikel 24.1 GDPR. I detta sammanhang betonade Datatilsynet att Dantherm inte kunde visa under vilka perioder ”AV”-kontot varit aktivt.
Mot denna bakgrund fann Datatilsynet skäl för att uttrycka kritik mot att Dantherms behandling av personuppgifter inte hade skett i enlighet med reglerna i GDPR.
Enligt Datatilsynet ärendet gällde ärendet så kallad gränsöverskridande behandling av personuppgifter då anställda i bland annat Tyskland, Polen och England påverkats av överträdelsen. Datatilsynet har därför fattat ett beslut i egenskap av den ledande tillsynsmyndigheten enligt “one-stop-shop-mekanismen” i GDPR.